Como configurar/iniciar rapidamente o switch L2 da caixa linux

Para simplificar, falarei apenas sobre ethernet e IPv4 (o mesmo se aplica, por exemplo, a IPv6/ ip6tables ). Às vezes, tentarei abordar cada ponto com mais detalhes do que o necessário, caso essa pergunta seja interessante para outras pessoas.

1. configurar

   Para ficar completo, você deve adicionar isso em sua configuração inicial, caso não tenha sido feito antes:

   ip link set eth0 up
   ip link set eth1 up
   

   Se você não abrir as portas da ponte, a ponte enquanto estiver ativa não estará recebendo nem poderá enviar nenhum quadro. Esta pode ser a causa de seus problemas.

2. portas de ponte e camada 3

   TL;DR : para uma configuração mais fácil, a configuração de IP e roteamento deve estar na interface da ponte br0e somente nela. Isso deve afetar apenas a conectividade IP do host, não sua capacidade de ponte. Portanto, se anteriormente o IP foi definido em eth0 , você deve aplicá-lo em br0 . Se você não fizesse isso, isso impediria a conectividade IP com o sistema (mas não impediria a ponte).

   Como uma observação lateral, o ARP é destinado ao sistema local e tratado pelo protocolo ARP e não tratado de maneira especial por uma ponte. O que é útil em uma ponte é ver o FDB (entradas do banco de dados de encaminhamento).

   estado ARP do sistema local:

   ip neighbour show
   

   para monitorar as mudanças:

   ip monitor neigh
   

   Estados de encaminhamento MAC da ponte:

   bridge fdb show br br0
   

   para monitorar as mudanças:

   bridge monitor fdb
   

   Outras configurações são possíveis, por exemplo, usando um veth par extra de interfaces com o IP em uma extremidade e a outra extremidade como uma 3ª porta de ponte, e nenhum IP na ponte, deixando a ponte fazendo apenas ponte e não envolvida na camada 3. Mas é mais demorado para configurar corretamente (por exemplo: o que acontece com o endereço MAC aleatório por padrão? etc.).

   Assim que uma interface se torna uma porta bridge (obtém uma bridge como master), suas informações da camada 3 são ignoradas: IPs configurados nela, se houver, ficam indisponíveis. A exceção notável é a porta de auto-ponte implícita especial com o nome da ponte, então aqui br0. Se você atribuir um IP a ele, então a bridge estará trabalhando na camada 3 (IP), além de fazer a comutação de quadros na camada 2. Caso contrário, ela só poderá fazer comutação.

3. iptables/netfilter e interações de camada de ponte

   TL;DR : se você não estiver usando nenhuma regra do iptables , inclusive em namespaces de rede (contêineres), você não precisa fazer nada, nem se preocupar se alguns módulos relacionados ao iptables estão carregados. Resposta detalhada a seguir...

   Filtrar (ou desmembrar, etc.) quadros na camada 2 (ponte ethernet) deve ser feito por ebtables , enquanto a filtragem de pacotes IP na camada 3 deve ser feita por iptables . Então iptables normalmente não devem ver frames (a menos que sejam destinados ao sistema local e cheguem na camada 3 como pacotes IP) e não devem ter nenhuma interação nos frames da bridge, mas...

   ebtables é mais limitado e por exemplo não tem acesso direto ao conntrack do netfilter nem todas as extensões disponíveis para o iptables . Sem isso, seria difícil implementar um bom firewall de camada 2 (que atua como um switch em vez de um roteador). É por isso que existe um modo especial que permite que o código da ponte chame iptables (com quadros temporariamente alterados em pacotes IP para uso de iptables ) além de ebtables . Está descrito em O que é bridge-netfilter? e na interação ebtables/iptables em uma ponte baseada em Linux , com exemplos de interação mais proeminentes em7. Duas maneiras possíveis de frames/pacotes passarem pelas chains PREROUTING, FORWARD e POSTROUTING do iptables . O fluxo de pacotes no lado da camada de link do Netfilter e do esquema de rede geral detalha esse manuseio em azul ( ebtables ) e verde ( iptables ).

   Este modo é habilitado carregando o módulo br_netfilter (eg modprobe br_netfilter), mas simplesmente usando uma regra iptables com a correspondência physdev irá carregá-lo automaticamente.

   Quando este módulo for carregado (e o sysctl padrão ainda estiver presente: net.bridge.bridge-nf-call-iptables=1) então o iptables irá interagir com a ponte, especialmente quando a ponte tiver um IP, porque isso será feito um tempo adicional da camada de ponte, ao invés de apenas da camada de rede. Então seguindo o exemplo do capitulo 7 anterior , caso você esteja fazendo a ponte da LAN 192.168.22.0/24 e também tenha uma 3ª interface que não faça parte da ponte utilizada para acesso à internet com NAT, esta regra, se usada sozinha:

   iptables -t nat -A POSTROUTING -s 192.168.22.0/24 -j MASQUERADE
   

   além do tráfego roteado por NAT para fora, também o tráfego em ponte NAT : todo sistema que recebe quadros em ponte veria como origem o IP da ponte em vez do original. É por isso que isso geralmente é escrito assim (você vê isso definido por aplicativos como o LXC):

   iptables -t nat -A POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE
   

   Então sim você pode até usar o iptables mas deve ter cuidado para não estar usando bridge-nf (o módulo br_netfilter ) ou então adaptar regras. Alguns aplicativos que lidam com rede, especialmente relacionados a contêineres (Docker, Kubernetes...) podem ativá-lo.

   Nota sobre namespaces de rede: bridge-nf logo se tornará per-namespace , mas ainda não é o caso. É possível carregar o módulo, desativar a opção e definir uma opção por ponte, mas acho que por enquanto funciona corretamente apenas no namespace inicial. Também acionar o carregamento automático do módulo de qualquer namespace de rede (usando physdev ) afetará todos os outros namespaces de rede, incluindo inicial, é por isso que as regras devem sempre se preparar para isso.

   Nota 2: uma vez que o rastreamento de conexão de ponte é disponibilizado para nftables , não deve haver nenhuma razão para usar bridge-nf .

4. encaminhamento

   Por padrão, sem opções adicionais, a ponte está encaminhando quadros (e não manipulando STP) alguns segundos depois que suas portas e ela própria são ativadas. Então, se você sabe que não pode haver nenhum loop, ele deve estar pronto para ser usado.

5. DHCP

   Sim, a ponte deve encaminhar consultas e respostas DHCP, nada de especial no nível da ponte aqui.

6. diversos

   • VLAN

     Sua configuração parece não ter IDs de VLAN em nenhum lugar, portanto, nada de especial relacionado a VLANs é necessário. Apenas informando que se os quadros marcados com VLAN estivessem envolvidos, a ponte precisaria de configurações adicionais para tratá-los corretamente (começando com ip link set dev br0 type bridge vlan_filtering 1, e depois alguns bridge vlan ...comandos adequados).

   • solução de problemas

     Você deve executar o tcpdump em todas as interfaces, algo como:

     tcpdump -e -l -n -s0 -i eth0
     tcpdump -e -l -n -s0 -i br0
     tcpdump -e -l -n -s0 -i eth1
     

     simultaneamente para ajudar a ver o que está acontecendo.

   • configuração

     se você estiver usando o tipo de configuração ifupdown no Debian, instalar o pacote bridge-utils , que contém o comando obsoleto brctl , também adicionará ganchos bridge-utils-interfaces para configurar uma ponte em uma estrofe de interfaces . Deve ser bom o suficiente para uma configuração de ponte simples.